Weekly Backlog KW 13/2026

🧠 Editorial

Diese Woche fühlt sich ein bisschen an wie ein Infrastruktur-Realitätscheck.

Während Deutschland plötzlich Rechenzentren im Industriemaßstab bauen will, diskutiert Europa weiterhin darüber, was „Souveränität" eigentlich bedeutet – und die USA zeigen uns ganz nebenbei, wie schnell Sicherheitsstandards weich werden, wenn Abhängigkeiten zu groß sind.

Spoiler: Es ist alles dasselbe Problem.

Nur aus drei Perspektiven.

📰Tech-News:

Bundesregierung plant massive Ausweitung von Rechenzentren bis 2030

Deutschland will Rechenzentren massiv ausbauen: KI-Kapazitäten sollen sich bis 2030 vervierfachen, klassische Infrastruktur mindestens verdoppeln.

Klingt ambitioniert, scheitert aber aktuell eher an Strom als an Hardware.

• Rechenzentren verbrauchen bereits 21 TWh (~4 % des Stroms)
• Netzanschlüsse sind knapp
• Anträge blockieren Kapazitäten, weil stumpf nach Eingangsdatum entschieden wird

Die Strategie setzt deshalb auf bestehende Standorte – alte Kraftwerke, Industrieflächen, alles mit ausreichend Anschlussleistung. Technisch sinnvoll, politisch pragmatisch.

Offen bleiben die eigentlichen Probleme:

• Strompreise
• Netzausbau
• Abwärmenutzung (weiterhin ungelöst)

Und im Hintergrund schwingt die eigentliche Frage mit: 👉 Wer betreibt diese Infrastruktur am Ende?

Denn während Deutschland baut, fehlt weiterhin eine klare Antwort auf die Plattformseite.

🔗 https://www.heise.de/news/Verwaltung-Open-Source-wird-zum-Standard-11219607.html#

Souveränität oder Illusion? Europas Cloud-Dilemma

Der offene Brief von 25 europäischen Cloud-Anbietern trifft einen wunden Punkt, den die EU seit Jahren umgeht: Europa spricht von digitaler Souveränität, während es seine Abhängigkeit systematisch ausbaut.

US-Hyperscaler dominieren den Markt – und dennoch werden ihre Angebote politisch und regulatorisch zunehmend als „souverän" eingeordnet. Diese Gleichsetzung ist nicht nur ungenau, sondern irreführend. Denn wer Infrastruktur bei AWS, Microsoft oder Google betreibt, bewegt sich zwangsläufig im Einflussbereich des US-Rechts. Der CLOUD Act ist dabei nur das bekannteste Beispiel, aber keineswegs das einzige. Auch FISA, insbesondere Section 702, schafft weitreichende Zugriffsmöglichkeiten. Der physische Standort der Daten in Europa ändert daran nichts.

Damit verschiebt sich die Definition von Souveränität. Sie basiert nicht mehr auf tatsächlicher Kontrolle, sondern auf Zertifizierungen, Vertragskonstrukten und politischem Framing.

Die Folgen sind längst sichtbar: Öffentliche Institutionen und Unternehmen lagern kritische Systeme an Anbieter aus, deren rechtliche Bindung außerhalb Europas liegt, während europäische Alternativen politisch beschworen, aber praktisch kaum berücksichtigt werden. Lock-in wird so nicht nur in Kauf genommen, sondern strukturell verstärkt.

Besonders kritisch wird diese Entwicklung im Kontext von KI. Wer heute die Infrastruktur kontrolliert, entscheidet morgen über Datenzugang, Wertschöpfung und Innovationsspielräume. Wenn Europa hier weiter auf externe Plattformen setzt, verliert es nicht nur Marktanteile, sondern auch Gestaltungsmacht.

CADA ist damit keine weitere Regulierung, sondern eine Richtungsentscheidung: Entweder es entstehen echte Rahmenbedingungen für europäische Anbieter – oder die bestehende Abhängigkeit wird politisch zementiert.

🔗 https://www.heise.de/news/Cloud-25-europaeische-CEOs-warnen-EU-vor-Souveraenitaets-Washing-11217583.html

Erst abhängig, dann nachsichtig: Der Microsoft-Cloud-Skandal

Der ProPublica-Bericht zu Microsofts Government Cloud zeigt ein bekanntes Muster – nur selten so klar dokumentiert.

Im Kern geht es um ein System, dessen Sicherheit nie vollständig bewertet werden konnte. Prüfer scheiterten über Jahre daran, grundlegende Fragen zu klären: Wie genau verlaufen Datenflüsse? Wo und wie wird verschlüsselt? Selbst beteiligte Drittprüfer hatten keinen vollständigen Einblick. Das Ergebnis war eindeutig: keine belastbare Sicherheitsbewertung möglich.

Trotzdem wurde das System Ende 2024 freigegeben.

Der Grund ist so einfach wie problematisch: Es wurde längst genutzt. Ein Stopp hätte bedeutet, bestehende Abhängigkeiten aufzubrechen – operativ wie politisch kaum durchsetzbar. Damit wird aus Risikobewertung eine Formalität. Nicht die Sicherheit entscheidet, sondern die faktische Nutzung.

Diese Dynamik wird durch strukturelle Schwächen verstärkt. Prüfungen erfolgen durch Dritte, die vom Anbieter bezahlt werden, während gleichzeitig die Aufsicht personell geschwächt und unter Druck gesetzt wird. Kontrolle findet statt – aber nur so lange, wie sie keine Konsequenzen hat.

Ein ehemaliger NSA-Experte bringt es auf den Punkt: Das ist kein Sicherheitsnachweis, sondern „Security Theater".

Der Fall ist kein Ausreißer, sondern Symptom eines hochkonzentrierten Cloud-Marktes, in dem Abhängigkeit schrittweise die Fähigkeit ersetzt, Risiken tatsächlich durchzusetzen.

🔗 https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government

🧐Rückblick:

CloudFest 2026: Zwischen Achterbahn, AI und Altbekanntem

Wir waren mit dem Brand-Team zwei Tage auf dem CloudFest vor Ort – und ja, das Ding bleibt einfach ein Ausnahmeformat.

Organisatorisch gibt es wenig zu meckern. Das Event läuft rund, die Wege sind klar, die Mischung aus Expo, Vorträgen und Networking funktioniert. Besonders das Come2Gather am Vorabend war – wie eigentlich jedes Jahr – ein Highlight. Networking in den Straßen des Europaparks hat einfach eine eigene Dynamik, und kulinarisch wurde auch nicht gespart. Das Caterina war, wenig überraschend, wieder herausragend. Dazu noch gutes Wetter – mehr kannst du für so ein Setup eigentlich nicht verlangen.

Inhaltlich haben wir uns unter anderem den Vortrag von Daniel Menzel angeschaut. Grob gesagt ging es um den praktischen Umgang mit moderner Cloud-Infrastruktur und den Herausforderungen, die entstehen, wenn Komplexität schneller wächst als die eigenen Prozesse. Kein Buzzword-Bingo, sondern ziemlich nah an der Realität vieler Teams.

Die Messe selbst war gut besucht – stellenweise sogar zu gut. In den Hallen wurde es phasenweise ziemlich eng, was zwar für Interesse spricht, aber nicht unbedingt für gute Gespräche sorgt.

Weniger gelungen war aus meiner Sicht erneut die Platzierung der Startups. Diese wurden wieder in einen engen Gang gepackt, was faktisch ein Nadelöhr erzeugt. Für die Sichtbarkeit der Unternehmen ist das alles andere als ideal. Gerade für Startups, die auf Aufmerksamkeit angewiesen sind, fehlt dort schlicht der Raum.

Das war letztes Jahr deutlich besser gelöst, als die Startups stärker in die Hallen integriert waren. Mehr Fläche, mehr Laufpublikum, mehr echte Interaktion. Dieses Jahr wirkte es wieder wie ein separierter Bereich, der eher übersehen als entdeckt wird.

Unterm Strich bleibt das CloudFest trotzdem das, was es ist: eines der wenigen Events, das fachlichen Austausch, Community und Festival-Charakter sinnvoll kombiniert – mit kleinen, aber wiederkehrenden Schwächen im Detail.

🚨ALERT:

Sicherheitslücke? Nö, Informationslücke!

Die aktuellen Warnungen zu Cisco, SharePoint und Zimbra folgen dem üblichen Muster: Lücke bekannt, Patch da, bitte handeln.

Was fehlt: der eigentliche Kontext.

Die Cisco-Lücke wurde bereits Wochen vorher aktiv ausgenutzt – ohne dass Betreiber davon wissen konnten.

Das ist kein Einzelfall, sondern systemisch:

• Hersteller bestimmen Zeitpunkt der Veröffentlichung
• Angriffe laufen, bevor jemand reagieren kann
• zentrale Systeme skalieren Schwachstellen sofort global

Dazu kommt:

• kaum unabhängige Prüfung
• Bewertung hängt von den Herstellern selbst ab

„Patch schneller" greift hier zu kurz. Die kritischste Phase ist oft vorbei, bevor sie überhaupt sichtbar wird.

Solange diese Abhängigkeit von wenigen, intransparenten Plattformen besteht, bleibt Sicherheit reaktiv.

🔗 https://www.heise.de/news/Warnung-vor-Angriffen-auf-Cisco-FMC-SharePoint-und-Zimbra-11217003.html?utm_term=Autofeed&utm_medium=Social&utm_source=LinkedIn#Echobox=1773903657

🧷Short-News:

Bundesnetzagentur macht Versorgungslücken sichtbar

Neues Online-Tool zeigt erstmals konkret, wo Internetversorgung fehlt – basierend auf Breitbandatlas, Mobilfunkdaten und Anbieterangaben.

Noch im Test, aber ein wichtiger Schritt: 👉 Infrastrukturprobleme werden sichtbar statt geschätzt.

🔗 https://www.golem.de/news/bundesnetzagentur-interaktive-karte-zeigt-luecken-bei-der-internetversorgung-2603-206584.html

BSI unterstützt nationale Umsetzung der EU-KI-Verordnung

Das BSI positioniert sich klar zur Umsetzung des EU AI Acts:

• KI-Marktüberwachungs- und Innovationsgesetz (KI-MIG) geplant
• Fokus auf Cybersicherheit bei Hochrisiko-KI
• stärkere Rolle bei Zertifizierung und Standards

Entscheidend wird sein, wie tief das BSI tatsächlich in Prüfprozesse eingebunden wird – oder ob am Ende wieder formale Compliance reicht.

🔗 https://www.bundestag.de/resource/blob/1157054/Stellungnahme-KI-VO_BSI-23-03-2026.pdf

🗣️LinkedIn-Beitrag der Woche:

Digitale Souveränität – und was wirklich dahinter steckt

Bernd Korz beschreibt sehr präzise den aktuellen Widerspruch:

Während politisch von Souveränität gesprochen wird, wachsen die Abhängigkeiten weiter.

Interessant ist weniger der Inhalt als die Verschiebung der Debatte: Die Kritik kommt zunehmend aus Wirtschaft und Praxis – nicht mehr nur aus der Tech-Bubble.

Das Thema kippt langsam vom Narrativ zur Realität.

🔗 https://www.linkedin.com/posts/berndkorz_gestern-abend-in-leipzig-hat-sich-bei-mir-share-7440648640412442624-Ksyq/?utm_source=share&utm_medium=member_ios&rcm=ACoAADCSWyQBU4m7hUbXDJqk27ftrkLIYOZzONU

🌤️Good-News:

EVB-IT-Reform: Open Source wird zum Standard

Die öffentliche IT-Beschaffung in Deutschland hat sich über Jahre selbst ausgebremst. Proprietäre Software war faktisch der Default, Open Source dagegen oft ein juristisches Risiko. Das Ergebnis: hohe Abhängigkeiten, wenig Wettbewerb und Lösungen, die mehrfach bezahlt wurden, weil sie nicht wiederverwendet werden konnten.

Mit der Überarbeitung der EVB-IT-Musterverträge dreht sich diese Logik erstmals spürbar.

Open Source wird bei neuer Software zum Standard. Was lange politisch gefordert wurde, wird damit operativ umsetzbar. Behörden können Open-Source-Lösungen jetzt rechtssicher beschaffen, ohne sich durch Vertragskonstrukte selbst auszuschließen. Gleichzeitig öffnet sich der Markt für Anbieter, die bisher strukturell benachteiligt waren.

Besonders relevant ist die verpflichtende Veröffentlichung über OpenCoDE. Damit entsteht erstmals ein systematischer Mechanismus für Nachnutzung innerhalb der Verwaltung. Software wird nicht mehr isoliert entwickelt, sondern kann geteilt, geprüft und weiterentwickelt werden. Das spart nicht nur Kosten, sondern erhöht auch die Qualität, weil mehr Augen auf dem Code liegen.

Mit der Einführung von SBOMs verschiebt sich zusätzlich die Sicherheitslogik. Abhängigkeiten werden transparent, Risiken nachvollziehbar. Black-Box-Software verliert damit einen Teil ihres bisherigen Vorteils – nämlich Intransparenz.

Das ist keine technische Detailänderung, sondern eine strukturelle Verschiebung. Wettbewerb wird gestärkt, Lock-in reduziert und europäische Anbieter bekommen erstmals realistische Chancen im öffentlichen Sektor.

Die offene Frage bleibt, wie konsequent diese Prinzipien umgesetzt werden – und ob sie auch auf Cloud- und Plattformdienste ausgeweitet werden. Genau dort entscheidet sich am Ende, ob aus „Public Money, Public Code" mehr wird als nur ein Software-Prinzip.

🔗 https://www.heise.de/news/Verwaltung-Open-Source-wird-zum-Standard-11219607.html#

😂Meme der Woche:

Danke fürs lesen 🫶